ANALISIS DAN PERANCANGAN MANAJEMEN KEAMANAN INFORMASI DIREKTORAT

SISTEM INFORMASI UNIVERSITAS TELKOM DENGAN MENGGUNAKAN INDEKS

KEAMANAN INFORMASI (KAMI) PADA AREA PENGELOLAAN ASET INFORMASI,
TEKNOLOGI DAN KEAMANAN INFORMASI

ANALYSIS AND DESIGN OF INFORMATION SECURITY MANAGEMENT DIRECTORATE OF

INFORMATION SYSTEMS OF TELKOM UNIVERSITY USING THE INFORMATION
SECURITY INDEX (KAMI) IN THE AREA OF INFORMATION ASSET MANAGEMENT,
TECHNOLOGY AND INFORMATION SECURITY
1 2 3
Rizky Cherthio Annisyah , Avon Budiono , Rokhman Fauzi
1,2,3
Program Studi S1 Sistem Informasi, Fakultas Rekayasa Industri, Universitas Telkom
1 2 3
rizkycherthio@student.telkomuniversity.ac.id avonbudi@telkomuniversity.ac.id
rokhmanfauzi@telkomuniversity.ac.id

Abstrak - Informasi merupakan aset yang sangat berharga bagi sebuah lembaga baik lembaga pemerintah
maupun swasta termasuk dalam hal ini adalah Direktorat SISFO yang merupakan Direktorat pada salah satu
institusi Perguruan Tinggi swasta. Maka dari itu pengamanan informasi harus dilakukan dengan sebaik
mungkin. Sumber daya yang memadai dan cukup harus dialokasikan untuk melindungi aset informasi melalui
penyelenggaraan kebijakan keamanan sistem informasi yang terukur sesuai dengan standard yang ada.
Tujuan dari penelitian ini adalah sebagai kajian untuk mengetahui tingkat kesiapan pengamanan sistem
informasi institusi berdasarkan Indeks KAMI yang merupakan sebuah alat untuk menganalisa tingkat
kesiapan pengamanan informasi yang dibuat oleh Kemkominfo pada tahun 2011. Indeks KAMI merupakan
suatu alat evaluasi yang digunakan untuk menganalisa tingkat kesiapan pengamanan informasi di organisasi.
Evaluasi dilakukan terhadap beberapa area yang memenuhi aspek keamanan informasi yang didefinisikan
dalam standar ISO/IEC 27001 yang merupakan suatu standard yang dipublikasikan oleh International
Standard Organization dan International Electrotechnical Commission, standar tersebut menyediakan
rekomendasi best practice terhadap manajemen keamanan informasi dan pemeliharaan ISMS pada organisasi.
Hasil analisis penilaian indeks KAMI menunjukan bahwa kategori Sistem Elektronik tergolong tinggi dan
status kesiapan pada area pengelolaan asset informasi, teknologi dan kemanan informasi dilevel II dengan
hasil skor seluruh area 276 dari 645 total skor. Pada tingkatan ini menjelaskan kondisi dasar dari kerangka
kerja penerapan keamanan informasi yang masih belum melakukan dokumentasi diseluruh area. Direktorat
Sisfo belum memenuhi penerapan keamanan informasi sehingga diperlukan perbaikan dengan meningkatkan
control keamanan yang terdokumentasi dan terstruktur.

Kata Kunci: Indeks KAMI, ISO/IEC 27001, Information Security, SMKI.

Abstract - Information on assets that is very valuable for an institution, both government and private, including in
this case is the SISFO Directorate, which is a private university. Therefore, information security must be done as
well as possible. Adequate and sufficient resources must be allocated to protect information assets through the
implementation of a measurable information system security policy in accordance with existing standards. The
purpose of this research is as an evaluation to monitor the level of information system security readiness made by a
tool to analyze the level of information security readiness made by the Ministry of Communication and Information
in 2011. The KAMI index is an evaluation tool used to analyze the level of information security readiness in
organizations. Evaluation is carried out on several areas that meet the security aspects defined in the ISO / IEC
27001 standard which is a standard published by the International Standard Organization and International
Electrotechnical Commission, the standard provides best practice recommendations for information management
and ISMS maintenance in organizations. The results of our index analysis show that the category of Electronic
Systems is high and the status of readiness in the area of management of information assets, technology and data
information is level II with the results of a total score of 276 out of 645 total areas. At this level, it explains that the
basic condition of the information application framework which is still not documented in all areas. The Sisfo
Directorate has not fulfilled the implementation of information security so that improvements are needed by
increasing documented and structured controls.

Keywords: KAMI Indeks, ISO/IEC 27001, Information Security, ISMS

1) Pendahuluan
Direktorat SISFO merupakan suatu departemen yang berada dibawah naungan Telkom
University yang mengurus bidang akademik dan non-akademik pada sisi teknologi informasi. Direktorat
SISFO membawahi wakil Rektor II melayani seluruh unit yang ada di Telkom University dengan ruang
lingkup layanan dibagi berdasarkan struktur organisasi yaitu unit Layanan Operasional Sistem
Informasi (LOPSI), unit Infrastrukture dan Content (INTEN) dan unit Riset dan Pengembangan Sistem
Informasi (RISBANGSI).
Direktorat Sistem Informasi (Sisfo) berfungsi menjadi enabler yang menyediakan sarana
pendukung pencapaian WCU tersebut dalam bidang Information Technology‖
(is.telkomuniversty.ac.id). Dalam hal ini Direktorat Sisfo memiliki peran aktif dalam mendukung
aktivitas akademik dan non-akademik untuk dapat menyimpan, mengelola, dan mengekpos informasi
atau data dengan baik dan benar maka dibutuhkannya manajemen yang baik untuk pengamanan
informasi.
Untuk mengetahui keamanan terhadap informasi yang telah dilakukan oleh suatu instansi maka
dibutuhkannya alat evaluasi yaitu Indek KAMI. Indeks KAMI merupakan alat evaluasi terhadap tingkat
kesiapan (kelengkapan dan kematangan) untuk menerapkan keamanan informasi di sebuah organisasi
sesuai dengan standar SNI ISO 27001 pada area tata kelola, pengelolaan risiko, kerangka kerja,
pengelolaan asset, dan aspek teknologi (bssn.go.id).
Oleh karena itu, dilakukanlah penilaian kondisi keamanan informasi menggunakan Indeks
KAMI yang ada saat ini, untuk memperoleh nilai kesiapan untuk penerapan ISO 27001 dan melakukan
perumusan strategi yang akan dilaksanakan kedepannya dari hasil analisis Indek KAMI, serta
memberikan desain solusi yang meningkatkan keamanan informasi dari aspek struktur organisasi yang
ada, alur proses bisnis yang terjadi, dan pada teknologi yang digunakan.

2) Landasan Teori
2.1 Keamanan Informasi

Menurut G.J. Simons keamanan informasi adalah bagaimana usaha untuk dapat mencegah
penipuan (cheating) atau bisa mendeteksi adanya penipuan pada sistem yang berbasis informasi,
dimana informasinya sendiri tidak memiliki arti fisik (Purwanto, 2014).

Suatu organisasi yang berhasil harus memiliki keamanan yang baik yaitu pada:

1. Physical security
2. Personal security
3. Operation security
4. Communication security
5. Network security

Prinsip dasar dari Keamanan Informasi sebagai berikut, yaitu:

1. Confidentiality, Kerahasiaan menurut (Mokodompit & Nurlaela, 2017) informasi hanya dapat
diakses oleh mereka yang berhak atau memiliki wewenang untuk memperolehnya dan menjamin
kerahasiaan data yang dikirim, diterima dan disimpan.
2. Integrity, Integritas artinya informasi dijaga agar selalu akurat untuk menjaga informasi tersebut
maka informasi hanya boleh di ubah dengan izin pemilik informasi.
3. Availability, Ketersediaan adalah memastikan bahwa informasi terkait dapat diakses oleh mereka
yang berwenang sesuai dengan kebutuhan (Mokodompit & Nurlaela, 2017).

2.2 Frameork untuk Keamanan Informasi

a. ITIL Versi 3

ITIL V3 singkatan dari Information Thecnology Infrastructure Library Versi 3 yang

merupakan sebuah framework yang digunakan dalam mengelola layanan IT (IT Service
Management). ITIL v 3 memiliki 5 domain yaitu
 1. service strategy,
2. service design,
3. service transition,
4. service operation
5. continual servce improvement.

b. Cobit 5 For Information Security

Berdasarkan (ISACA, 2012), COBIT 5 untuk Keamanan Informasi memberikan panduan

spesifik yang berhubungan dengan semua enabler:

1. Kebijakan keamanan informasi, prinsip dan kerangka kerja

2. Proses, termasuk rincian dan aktivitas spesifik keamanan informasi
3. Struktur organisasi khusus keamanan informasi
4. Dalam hal budaya, etika dan perilaku, faktor penentu keberhasilan tata kelola dan pengelolaan
keamanan informasi
5. Jenis informasi keamanan spesifik informasi untuk memungkinkan pengelolaan dan pengelolaan
keamanan informasi di dalam perusahaan
6. Kemampuan layanan yang diperlukan untuk menyediakan keamanan informasi dan fungsi terkait
ke suatu perusahaan
7. Orang, keterampilan, dan kompetensi khusus untuk keamanan informasi.

2.3 Standar Sistem Manajemen Keamanan Informasi (SMKI)

a. ISO/IEC 27001

ISO/IEC 27001 dirilis pada tahun 2005. Menurut (ISO/ IEC 27001, 2005) ini terus
mengalami pembaharuan, ISO 27001: 2013 merupakan icon sertifikasi 27000 terbaru yang di rilis
tahun 2013, sebuah dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau
Information Security Management System (ISMS) yang berisi tentang gambaran umum mengenai
apa saja yang harus dilakukan oleh sebuah organisasi atau enterprise dalam rangka
mengimplementasikan konsep-konsep keamanan informasi.

Gambar 1 Siklus ISO 27001: 2005

Penjelasan dari model PDCA ISO 27001, sebagai berikut:

1. Plan (Establish ISMS)
Menentukan kebijakan ISMS, sasaran, proses, dan prosedur yang sesuai untuk mengelola resiko
dan meningkatkan keamanan informasi.
2. DO (Maintain and improve the ISMS)
Dilakukannya kebijakan ISMS, control, dan proses prosedur yang telah direncanakan.
3. Check (Monitor dan review the ISMS)
 Dilakukan pemantauan dan mengkaji kembali kinerja proses kebijakan, sasaran, dan akan
melaporkan hasil untuk penilaian efektivitasnya.
4. Act (Implement and operate the ISMS)
Dilakukan perbaikan dan pencegahan dari hasil evaluasi, audit internal dan tinjauan manajemen
tentang ISMS agar dapat meningkatkan kinerja proses ang terjadi.
Pada (ISO/ IEC 27001, 2013) berisi 14 group (Klausa) yang membahas 113 kontrol keamanan
informasi. Dengan menerapkan ISO/IEC 27001 akan meningkatkan kepercayaan publikterhadap
informasi yang dihasilkan dan diproses oleh sebuah pihak pengguna serta meningkatkan jaminan
kualitas dari sebuah informasi.

2.4 Sistem Manajemen Keamanan Infomasi / ISMS (Infromation Security Management System
)
Menurut (Whitman dan Mattord,2014) ISMS harus didukung oleh hal-hal berikut yaitu :
1. Percanaaan : melakukan kegiatan yang meliputi proses perancangan, pembuatan dan
implementasi untuk mencapai tujuan ISMS.
2. Kebijakan keamanan : kebijakan keamanan memberikan arahan dan dukungan sumber daya
untuk mencapai tujuan ISMS. Program Pelatihan Keamanan Informasi : memberikan
pengetahuan kepada pegawai mengenai keamanan informasi dan meningkatkan pemahaman
keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
3. Penilaian Risiko : dengan penilaian risiko ini organisasi dapat memahami seberapa besar
dampak yang akan diterima organisasi jika terjadi kejadian yang menyangkut keamanan
informasi
4. Sumber Daya Manusia : manusia adalah pemgubung utama dalam program keamanan informasi,
bisa meliputi keamanan personil secara individu saat bekerja dan keamanan personil dalam
organisasi.
5. Tanggung Jawab: meliputi tanggung jawam manajemen, masing-masing individu organisai serta
tanggung jawab untuk menjalankan dan memelihara ISMS.

2.5 Indeks KAMI

Menurut (Bssn.go.id), Indeks KAMI adalah suatu alat evaluasi untuk menganalis tingkat
kesiapan pengamanan informasi di organisasi atau instansi pemerintah. Evaluasi dilakukan terhadap
berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan
yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar ISO/IEC 27001:2013.

Gambar dibawah ini tampilan Dari hasil evaluasi indeks KAMI akan menggambarkan tingkat
kematangan dan kelengkapan untuk menerapkan SNI ISO/IEC27001 dan peta area yang dievaluasi
indeks KAMI di suatu organisasi.

Gambar 2Tampilan daskboard hasil evaluasi Indeks KAMI

 a. Metode Penilaian Indeks KAMI
Penilaian dalam Indeks KAMI dilakukan dengan cakupan keseluruhan persyaratan
pengamanan yang tercantum dalam standar ISO/IEC 27001:2009, pada (Keamanan Informasi, 2011)
yang disusun kembali menjadi 5 (lima) area di bawah ini:

1) Tata Kelola Keamanan Informasi – Bagian ini mengevaluasi kesiapan bentuk tata kelola
keamanan informasi beserta Instansi/fungsi, tugas dan tanggung jawab pengelola keamanan
informasi.

2) Pengelolaan Risiko Keamanan Informasi – Bagian ini mengevaluasi kesiapan penerapan

pengelolaan risiko keamanan informasi sebagai dasar penerapan strategi keamanan informasi.

3) Kerangka Kerja Keamanan Informasi – Bagian ini mengevaluasi kelengkapan dan kesiapan
kerangka kerja (kebijakan & prosedur) pengelolaan keamanan informasi dan strategi
penerapannya.

4) Pengelolaan Aset Informasi – Bagian ini mengevaluasi kelengkapan pengamanan terhadap aset
informasi, termasuk keseluruhan siklus penggunaan aset tersebut.

5) Teknologi dan Keamanan Informasi – Bagian ini mengevaluasi kelengkapan, konsistensi dan
efektivitas penggunaan teknologi dalam pengamanan aset informasi.

b. Proses penilaian kelengkapan dan kematangan Tata Kelola Keamanan Informasi

Proses penilaian dilakukan melalui 2 (dua) metode:
1. Jumlah (kelengkapan) bentuk pengamanan
2. Tingkat kematangan proses pengelolaan pengamanan informasi.
Metode pertama akan mengevaluasi sejauh mana instansi responden sudah menerapkan
pengamanan sesuai dengan kelengkapan kontrol yang diminta oleh standar ISO/IEC 27001:2013.
Untuk kelima area evaluasi, yang dimaksud sebagai kontrol dijelaskan secara singkat di bawah ini:

1) Tata Kelola Keamanan Informasi Pengelolaan Risiko Keamanan Informasi

2) Kerangka Kerja Keamanan Informasi Pengelolaan Aset Informasi Teknologi dan Keamanan
Informasi.

c. Penjelasan dan penilaian tingkat kematangan

Menurut (Keamanan Informasi, 2011)Pemetaan dan pemeringkatan akan dilakukan Tim

yang ditetapkan Kementrian Komunikasi dan Informatika (Kominfo) dan menjadi dasar bagi
pemberian opini Kominfo tentang kondisi tata kelola keamanan informasi di Kementrian/Lembaga
terkait.

1. Tingkat 0 - Tidak Diketahui(PASIF)

2. Tingkat I - Kondisi Awal (REAKTIF)

3. Tingkat II - Penerapan Kerangka Kerja Dasar (AKTIF)

4. Tingkat III - Terdefinisi dan konsisten (PRO AKTIF)

5. Tingkat IV - Terkelola dan Terukur (TERKENDALI)

6. Tingkat V - Optimal (OPTIMAL)

Mekanisme penilaian dari Tingkat Kematangan Indeks KAMI:

 1. Tingkat Kematangan I: Tidak ada ambang batas minimum – diasumsikan semua
responden diberikan status ini pada saat dimulainya evaluasi.
2. Tingkat Kematangan I+: Mencapai minimal dimana hasil empat bentuk pengamanan
TKII-Tahap 1 dengan status ―Dalam Penerapan/Diterapkan Sebagian‖ dan sisa jumlah
pengamanan TKII-Tahap 1 yang ada dengan status ―Sedang Direncanakan.‖
3. Tingkat Kematangan II: Mencapai minimal dimana hasil seluruh bentuk pengamanan
TKII-Tahap 1 dengan status ―Dalam Penerapan/Diterapkan Sebagian‖ dan semua bentuk
pengamanan TKII-Tahap 2 dengan status ―Dalam Penerapan/Diterapkan Sebagian.‖
4. Tingkat Kematangan II+: Mencapai minimal dimana hasil prasyarat Dasar TKII+, yaitu
mencapai nilai total bentuk pengamanan Tingkat Kematangan II > (80% dari nilai seluruh
bentuk pengamanan TKII-Tahap 1 & 2 dengan status ―Diterapkan Secara Menyeluruh‖)
dan semua bentuk pengamanan TKIII-Tahap 1 dengan status ―Diterapkan Secara
Menyeluruh‖, terdapat dua bentuk pengamanan TKIII-Tahap 2 dengan status ―Sedang
Direncanakan‖; dan sisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status
―Dalam Penerapan/Diterapkan Sebagian‖.

5. Tingkat Kematangan III: Mencapai minimal dimana hasil prasyarat Dasar TKII+, yaitu
seluruh bentuk pengamanan TKIII-Tahap 1 dengan status ―Diterapkan Secara
Menyeluruh‖, terdapat Dua bentuk pengamanan TKIII-Tahap 2 dengan status ―Dalam
Penerapan/Diterapkan Sebagian‖; dan sisa jumlah pengamanan TKIII-Tahap 2 yang ada
dengan status ―Diterapkan Secara Menyeluruh‖ serta terdapat dua bentuk pengamanan
TKIII-Tahap 3 dengan status ―Dalam Penerapan/Diterapkan Sebagian.‖
6. Tingkat Kematangan III+: Mencapai minimal dimana hasil prasyarat Dasar TKIII+
yaitu mencapai semua bentuk pengamanan TKIII-Tahap 1 dengan status ―Diterapkan
Secara Menyeluruh‖, tedapat satu bentuk pengamanan TKIII-Tahap 2 dengan status
―Dalam Penerapan/Diterapkan Sebagian‖; dan sisa jumlah pengamanan TKIII-Tahap 2
yang ada dengan status ―Diterapkan Secara Menyeluruh‖, dan terdapat satu bentuk
pengamanan TKIII-Tahap 3 dengan status ―Dalam Penerapan/Diterapkan Sebagian‖
dengan sisa jumlah pengamanan TKIII-Tahap 3 dengan status ―Diterapkan Secara
Menyeluruh.‖ Serta terdapat dua bentuk pengamanan TKIV-Tahap 3 dengan status
―Dalam Penerapan/Diterapkan Sebagian‖; dan sisa jumlah pengamanan TKIV-Tahap 3
yang ada dengan status ―Dalam Perencanaan.‖
7. Tingkat Kematangan IV: Mencapai minimal dimana hasil memenuhi prasyarat Dasar
TKIII+; dan semua bentuk pengamanan TKIV-Tahap 3 dengan status ―Diterapkan Secara
Menyeluruh.‖
8. Tingkat Kematangan IV+: Mencapai minimal dimana hasil telah mencapai Tingkat
Kematangan IV, dan terdapat satu bentuk pengamanan TKV-Tahap 3 dengan status
―Dalam Penerapan/Diterapkan Sebagian.‖
9. Tingkat Kematangan V: Mencapai minimal dimana hasil telah mencapai Tingkat
Kematangan IV; dan semua bentuk pengamanan TKV-Tahap 3 dengan status ―Diterapkan
Secara Menyeluruh.‖

Gambar 3 Hubungan tingkat Kematangan dan kelengkapan

Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Publik
3) METODOLOGI PENELITIAN

3.1 Konseptual Model

Model Konseptual merupakan gambaran dari konsep yang akan digunakan dalam rangkaian
pelaksanaan penilaian terhadap kesiapan keamanan informasi menggunakan Indeks KAMI pada
Layanan Operasional Sistem Informasi Direktorat SISFO.

Gambar 4 Konseptual Model

1. Tahap Analisis penilaian
Pada tahapan ini akan dilakukan pemetaan kategori sistem elektronik, melakukan penentuan
tingkat kelengkapan kontrol untuk menerapkan ISO 27001, selanjutnya tentukan tingkat
kematangan proses pengelolaan pengamanan informasi yang ada dilapangan. Kemudian lakukan
analisis gap dari hasil yang didapat dilapangan, evaluasi akan dilakukan pada area yang telah
ditetapkan agar dapat menentukan target perencananan selanjutnya.
2. Perancangan manajemen keamanan informasi
Pada tahapan ini dilakukannya perancangan solusi dari hasil analisis yang telah dilakukan untuk
membantu meningkatkan keamanan informasi yang ada di perusahaan. Desain solusi yang akan
diberikan pada tahap ini dalam aspek people, Process, dan Technology. Memberikan
rekomendasi kepada Direktorat SISFO berupa kebijakan dan SOP dari kontrol objective.
Kemudian membuat kesimpulan dari hasil penelitian dengan menyesuaikan pada tujuan
penelitian dan memberikan saran agar dapat dikembangkan pada penelitian selanjutnya. Saran
yang diberikan sebaiknya sesuai dengan kondisi sistem keamanan informasi pada Direktorat
SISFO berdasarkan hasil penilaian indeks KAMI.

Pada penelitian ini data yang akan digunakan disesuaian dengan tiap kategori dalam Indeks
KAMI bersama penanggung jawab atau yang memiliki kredibilitas di Direktorat Sistem Informasi,
kategori yang termasuk dalam Indeks KAMI adalah:

1) Sistem elektronik
2) Pengelolaan Aset informasi
3) Teknologi dan keamanan Informasi
4) Pengolahan dan Analisis Data
4.1 Hasil Penilaian Pengelolaan Aset Informasi
Berikut ini hasil matriks skor pada area Pengelolaan Aset Informasi:

Tabel 1 Skor Pengelolaan Aset Informasi

Pertanyaan Pengelolaaan Aset Informasi Total Skor
Jumlah Pertanyaan status pengamanan tahap 1 ada 24 pertanyaan 44
Jumlah Pertanyaan status pengamanan tahap 2 ada 10 pertanyaan 32
Jumlah Pertanyaan status pengamanan tahap 3 ada 4 pertanyaan 0
Batas skor Min untuk skor status pengamanan tahap 3 88
Total skor status pengamanan tahap 1 dan 2 76
Status penilaian status pengamanan tahap 3 Tidak valid
Total evaluasi Pengelolaan Aset Informasi 76

Tabel diatas menunjukkan total skor status pengamanan tahap 1 dan 2 bernilai 76 skor,
sedangkan status pengamanan tahap 3 dengan 4 pertanyaan memiliki skor 0. Syarat untuk skor min
status pengamanan tahap 3 yaitu di mana seluruh pengamanan tahap 1&2 dalam kondisi ―Dalam
Penerapan/ Diterapkan Sebagian‖ dengan total skor 88 status pengamanan tahap 3 menunjukkan
―Tidak Valid‖,berarti penerapan tahap 3 tidak memenuhi batas skor minimal.

4.2 Hasil penilaian Teknologi dan Keamanan Informasi

Pada teknologi dan keamanan informasi ini mengevaluasi kelengkapan, konsistensi dan
efektivitas penggunaan teknologi dalam pengamanan aset informasi. Terdapat 14 pertanyaan yang
berkaitan pada tingkat kematangan II, ada 11 pertanyaan tingkat kematangan III, adan ada 1
pertanyaan terkait tingkat kematangan IV dengan total pertanyaan pada bagian ini ada 26
pertanyaan. Pada area teknologi mensyaratkan adanya strategi yang terkait dengan tingkatan risiko,
dan tidak secara eksplisit menyebutkan teknologi atau merk pabrikan tersebut. Pada teknologi dan
keamanan informasi pada indeks KAMI menunjukkan hasil sebagai berikut, ini hasil matriks skor
padaarea Teknologi dan Keamanan Informasi:

Tabel 2 Skor Teknologi dan Keamanan Informasi

Pertanyaan Teknologi dan Keamanan Informasi Total Skor
Jumlah Pertanyaan status pengamanan tahap 1 ada 14 pertanyaan 32
Jumlah Pertanyaan status pengamanan tahap 2 ada 10 pertanyaan 46
Jumlah Pertanyaan status pengamanan tahap 3 ada 2 pertanyaan 6
Batas skor Min untuk skor status pengamanan tahap 3 68
Total skor status pengamanan tahap 1 dan 2 78
Status penilaian status pengamanan tahap 3 Valid
Total evaluasi teknologi dan keamanan informasi 84
Tabel diatas menunjukkan total skor status pengamanan tahap 1 dan 2 bernilai 78 skor,
sedangkan status pengamanan tahap 3 dengan 2 pertanyaan memiliki skor 6. Syarat untuk skor min
status pengamanan tahap 3 yaitu di mana rata-rata pengamanan tahap 1&2 dalam kondisi ―Dalam
Penerapan/ Diterapkan Sebagian‖ dengan total skor 78, dan status pengamanan tahap 3 menunjukkan
―Valid‖, berarti penerapan tahap 3 telah memenuhi batas skor minimal.

4.3 Hasil dari kajian Penilaian Indeks KAMI

Berdasarkan hasil evaluasi penilaian Indeks KAMI, tingkat kelengkapan penerapann standard
ISO 27001 ditunjukkan pada gambar berikut,
 Gambar 5 Tingkat Kelengkapan dan Kematangan SMKI
Pada Gambar 6, menunjukkan hasil tingkat kelengkapan penerapan SMKI berada pada area
―Kuning‖ yaitu perlu perbaikan, di mana ketergantungan terhadap TIK dinilai Tinggi dan total
jumlah nilai kelengkapan 276 skor, maka dasbor akan menampilkan hasil seperti yang ada di
Gambar 6. Pada matriksperan TIK dan Status Kesiapan, pada tingkat ketergantungan tinggi memiliki
syarat dalam pencapaian kelengkapan dengan hasil evaluasi batas max untuk warna ―merah‖ dengan
skor 272warna ―kuning‖ dengan max skor 455, dan pada warna ―hijau‖ dengan max skor 583. Oleh
karena itu perlunya ditingkatkan pengamanan pada seluruh area yang dengan melakukan self
assessment apabila telah melakukan peningkatan dalam salah satu area yang ada sehingga akan
melengkapi kesiapan standard ISO 27001.
Berdasarkan diagram radar dapat dilihat sebagai berikut,

Gambar 6 Diagram Radar tingkat Kelengkapan Area Indeks KAMI

Berdasarkan diagram radar menunjukkan sejauh mana pengamanan yang dilakukan pada
kondisi saat ini di Direktorat SISFO untuk mencapai tingkat kelengkapan yang diharapkan. Dalam
diagram radar, yang menjadi latar belakang area menunjukkan batas tingkat kelengkapan (kategori) 1
s/d 3 (hijau muda s/d hijau tua), dan masing-masing area ditampilkan dalam area merah. Pada
diagram ini Direktorat SISFO masih jauh untuk melengkapi kepatuhan dalam standard ISO 27001,
akan tetapi pada direktorat SISFO sisfo sebagian besar sudah masuk pada kerangka kerja dasar pada
kondisi saat ini, oleh karena itu direktorat perlu meningkatkan keamanan informasi yang mana
tingkat kategori SE yang cukup tinggi dan diperlukannya prosedur ataupun kebijakan dalam
mengatasi permasalahan yang berkaitan dengan keamanan informasi.

4.4 Gap Analysis

Gap analisis adalah kegiatan yang dilakukan dengan tujuan untuk membandingkan
persyaratan standar ISO 27001 dengan kondisi direktorat SISFO saat ini baik pada aspek kerangka
kerja (kebijakan dan prosedur) maupun penerapannya.

Tabel 3 Hasil GAP analisis

A. Identifikasi Area yang tidak Terpenuhi
Identifikasi area yang tidak terpenuhi merupakan hasil dari suatu proses eksisting yang telah
dilakukan analisis GAP pada Direktorat Sistem Informasi. Dari hasil identifikasi area yang
tidakterpenuhi maupun yang belum dilakukan oleh direktorat akan di gunakan untuk mengetahui apa
saja area yang belum memenuhi standar ISO. Dibawah ini merupakan hasil temuan yang telah
diidentifikasi dengan meyesuaikan area dan persyaratan yang ada pada indeks KAMI.

Tabel 4Area yang tidak terpenuhi

no Area Indeks Kategori Temuan
Keamanan Tingkat
Informasi Kelengkapan
1 Pengelolaan 5.8 Definisi tanggungjawab pengamanan informasi secara
Aset individual untuk semua personil di direktorat sisfomasi masih
Infromasi dalam perencanaan
2 5.10 Tata tertib pengamanan dan penggunaan aset
instansi/perusahaan terkait HAKI masih dalam perencanaan
3 5.11 Direktorat SISFO belum memiliki peraturan terkait instalasi
piranti lunak di aset TI milik instansi/perusahaan
4 5.12 Peraturan penggunaan data pribadi yang mensyaratkan
pemberian izin tertulis oleh pemilik data pribadi masih dalam
perencanaan
5 5.16 Direktorat SISFO belum membuat ketetapan terkait
pertukaran data dengan pihak eksternal dan pengamanannya
6 5.17 Proses penyidikan/investigasi untuk menyelesaikan insiden
terkait kegagalan keamanan informasi masih dalam
perencanaan
 7 5.19 Ketentuan pengamanan fisik yang disesuaikan dengan
definisi zona dan klasifikasi aset yang ada di dalamnya
8 5.20 direktorat sisfo belum melakukan Proses pengecekan latar
belakang SDM
9 5.21 Proses pelaporan insiden keamanan informasi kepada pihak
eksternal ataupun pihak yang berwajib masih dalam
perencanaan
10 Pengelolaan 5.26 Direktorat belum memiliki daftar rekaman pelaksanaan
Aset keamanan informasi dan bentuk pengamanan yang sesuai
Informasi dengan klasifikasinya
11 5.27 direktorat sisfo belum melakukan pengamanan akses yang
berkaitan dengan pihak ketiga dan belum tersedia prosedur
penggunaan perangkat pengolah informasi milik pihak ketiga
(termasuk perangkat milik pribadi dan mitra kerja/vendor)
dengan memastikan aspek HAKI
12 5.32 belum memiliki peraturan pengamanan perangkat komputasi
milik Instansi anda apabila digunakan di luar lokasi kerja
resmi/ diluar kantor
13 5.33 belum memiliki preosedur untuk memindahkan aset TIK
(piranti lunak, perangkat keras, data/informasi dll) dari lokasi
yang sudah ditetapkan (dalam daftar inventaris)
14 5.36 mekanisme pengamanan dalam pengiriman aset informasi
(perangkat dan dokumen) yang melibatkan pihak ketiga
dalam perancanaan oleh direktorat sisfo
15 5.38 belum tersedia proses untuk mengamankan lokasi kerja dari
keberadaan/kehadiran pihak ketiga yang bekerja untuk
kepentingan direktorat
16 teknologi dan 6.10 tidak semua log dianalisa secara berkala untuk memastikan
keamanan akurasi, validitas dan kelengkapan isinya (untuk kepentingan
Informasi jejak audit dan forensik)
17 6.21 rekaman dan hasil analisa (jejak audit - audit trail) yang
mengkonfirmasi bahwa antivirus/antimalware belum
dimutakhirkan secara rutin dan sistematis dan masih dalam
perencanaan
18 teknologi dan 6.26 Direktorat belum melibatkan pihak independen untuk
keamanan mengkaji kehandalan keamanan informasi secara rutin
Informasi

B. Hasil Kriteria Risiko

Pada penelitian ini hasil kriteria risiko diperoleh dari hasil penilaian hitungan nilai skala probability
dan nilai impact yang menunjukkan kondisi yang terjadi saat ini pada direktorat SISFO. Tabel dibawah ini
adalah hasil kreiteria risiko.

Tabel 5Hasil Kriteria Risiko

5) PERANCANGAN KEAMANAN INFORMASI
Pada perancangan keamanan informasi ini akan menjadi salah satu usulan dari penulis untuk
membantu Direktorat SISFO dalam mencapai target penerapan Standar ISO 27001 melalui penilaian
dengan menggunakan Indeks KAMI yang telah mengacu pada standar tersebut. Dari hasil analisis
yang telah dilakukan beberapa kontrol yang dapat diterapkan oleh direktorat SISFO sebagai
pendukung dalam rekomendasi perancangan Indeks Keamanan Informasi. Perancangan yang
diajukan pada penulisan ini yaitu pada perancangan Process,diakses, dan teknologi.
A. Perancangan Process
Perancangan proses merupakan salah satu rancangan usulan dalam alur proses bisnis berupa
dokumen kebijakan, prosedur, dan dokumen lainnya. Kebijakan dan prosedur yang dibuat dengan
memperhatikan rekomendasi kontrol sesuai standar area yang belum terpenuhi pada Indeks KAMI.
Kebijakan ini akan menjadi acuan atau pedoman dalam pelaksanaan Aktivitas pada Direktorat
SISFO. Perancangan kebijakan yang direkomendasikan adalah kebijakan pengelolaan aset keamanan
informasi.
a. Perancangan Kebijakan Keamanan Informasi
b. Perancangan SOP (Standard Operasional Prosedure)
B. Perancangan Aspek People
Perancangan People adalah suatu rancangan yang dibuat dari hasil pengelolaan risiko dalam
Indeks KAMI yang membutuhkan kontrol pada sumber daya manusia untuk dapat meningkatkan
kinerja dari Direktorat SISFO. Pada perancangan ini akan ada beberapa usulan penambahan
deskripsi kerja terhadap struktur organisasi Direktorat Sistem Informasi.
C. Perancangan Roadmap
Roadmap merupakan perencanaan pengamanan informasi berdasarkan jangka waktu
pelaksanaan kegiatan yang akan dilakukan untuk dapat mencapai tujuan perusahaan. Perancangan
roadmap di peroleh dari hasil analisis tingkat risiko yang tertinggi yang akan dilakukan dalam
triwulan ke-3 dengan berkala ditiap kegiatan memiliki waktu yang berbeda.

6) KESIMPULAN DAN SARAN

A. Kesimpulan
Berdasarkan hasil penelitian pada Direktorat Sistem Informasi yang dilakukan menggunakan
Indeks KAMI, maka didapat penerapan SMKI sebagai berikut:

a) Penilaian Kategori Sistem Elektronik pada Direktorat Sistem Informasi menunjukkan total skor
29 point. Hal ini menjelaskan bahwa direktorat SISFO sebagai pengguna TIK sangat berperan
penting sehingga tidak bisa dipisahkan dari proses bisnis yang berjalan. Tingginya nilai kategori
sistem elektronik ini menegaskan bahwa data yang dikelola Direktorat SISFO secara mandiri ini
tersimpan pada layanan yang dibangun oleh direktorat SISFO yaitu i-Gracias. I-Gracias ini
digunakan oleh seluruh civitas yang ada di Universitas Telkom untuk segala aktivitas yang
berhubungan dengan akademik maupun non akademik. Dampak yang akan dialami jika sistem
elektronik tidak berjalan sebagaimana mestinya yaitu merusak alur proses bisnis yang sedang
terjadi, timbulnya kerugian finansial, hingga memperlambat kerja adminstrasi dalam mengolah
data yang ada.
b) Penilaian Indeks KAMI pada seluruh area memperoleh skor sebesar 276,di mana area
pengelolaan aset memperoleh skor 76 dengan tingkat kematangan pada level kematangan II, dan
 area teknologi dan keamanan informasi memperoleh skor 84 dengan tingkat kematangan pada
level kematangan II. Dari hasil yang diperoleh direktorat Sisfo belum mencapai syarat tingkat
kematangan standar ISO/IEC 27001:2013 dengan tingkat kematangan minimalnya III. Hal ini
menjelaskan bahwa direktorat Sisfo perlu melakukan perbaikan pada area yang belum terpenuhi
di penilaian sebelumnya dengan melakukan penerapan kontrol pada standar ISO 27001:2013
agar dapat mencapai target standar ISO 27001 dan juga dapat menjaga seluruh informasi yang
ada pada Direktorat Sistem Informasi.

B. Saran
Saran yang diberikan penulis dari hasil penelitian Indeks KAMI sebagai berikut:
a) Direktorat Sisfo diharapkan melakukan penerapan kontrol pada standar ISO 27001:2013, dengan
melaksanakan seluruh kebijakan dan prosedur yang telah dbuat terkait keamanan informasi dan
melakukan evaluasi pada area pengolahan aset informasi dan teknologi keamanan infromasi.
b) Melakukan evaluasi keamanan informasi dengan menggunakan Indeks KAMI ini dua kali dalam
satu tahun untuk meninjau ulang kesiapan keamanan informasi sekaligus mengukur keberhasilan
pada perbaikan yang dilakukan.
c) Pada penelitian selanjutnya disarankan untuk dapat melakukan evaluasi dengan metode indeks
KAMI dengan versi terbaru, agar dapat menyesuaikan perubahan pada saat melakukan evaluasi
di Direktorat Sistem Informasi.

REFERENSI
[1] Akhirina, Tri Yani, dkk. (2016). Evaluasi Keamanan Teknologi Informasi pada PT Indotama
Partner Logistics Menggunakan Indeks Keamanan Informasi (KAMI). Teknosi.Vol. 02, No. 02,
Agustus 2016.

[2] Badan Siber dan Sandi Negara.(2018). Indeks KAMIDiakases pada tanggal 15september
2018.https://bssn.go.id/indeks-kami

[3] Candiwan, el al. (2015). Comparison Analysis Of Information Security Risks And Implementation
Of ISO27001 On Higher Educational Institutions In Indonesia. Retrieved from International Journal
of Basic and Applied Science, 4 (w2) : 40-52.

[4] Chazar, C. (2015). Standar Manajemen Keamanan Informasi Berbasis ISO/IEC 27001: 2005.
Jurnal Informasi,VII(2), 48–57.

[5] ISACA. (2012). COBIT 5 for Information Security.

[6] ISO/ IEC 27001, S. (2005). INTERNATIONAL STANDARD ISO / IEC Information technology
— Security techniques — Information security management systems — Requirements, 2005.
https://doi.org/10.1177/0011128708322943

[7] ISO/ IEC 27001, S. (2013). INTERNATIONAL STANDARD ISO / IEC Information technology
— Security techniques — Information security management systems — Requirements, 2013.
https://doi.org/10.1177/0011128708322943
[8] ISO/IEC 27000, S. (2014). INTERNATIONAL STANDARD ISO/IEC 27000 Information
technology — Security techniques — Information security management systems — Overview and
vocabulary, 2014, 1. Retrieved from papers3://publication/uuid/F41B7AE4-6A56-4A74-B71E-
2739C41A3849

[9] Keamanan Informasi, T. D. (2011). Panduan Penerapan Tata Kelola Keamanan Informasi Bagi
Penyelenggara Pelayanan Publik.

[10] Keamanan Informasi, T. D. (2017). Panduan Penerapan Sistem Manajemen Keamanan Informasi
Berbasis Indeks Keamanan Informai (wIndeks KAMI).

[11] Manullang, A. F., Harsono, L. D., & Candiwan. (2017). Asesmen Keamanan Informasi
Menggunakan Indeks Keamanan Informasi ( Kami ) pada Institusi XYZ . Journal Information
Engineering and Educational Technology,01, 73–82.

[12] Mokodompit, M. P., & Nurlaela, N. (2017). Evaluasi Keamanan Sistem Informasi Akademik
Menggunakan ISO 17799:2000 (Studi Kasus Pada Peguruan Tinggi X ). Jurnal Sistem Informasi
Bisnis,6(2), 97. https://doi.org/10.21456/vol6iss2pp97-104

[13] OGC. (2007). ITIL v3 - Service Lifecycle - Introduction to ITIL.

[14] Purwanto, E. (2014). Keamanan Informasi. Retrieved from

https://bpptik.kominfo.go.id/2014/03/24/404/keamanan-informasi/

[15] Rashid Ridho, M., Ghozali, K., & Cahyo Hidayanto, B. (2012). Evaluasi Keamanan Informasi
Menggunakan Indeks Keamanan Informasi (KAMI) Berdasarkan SNI ISO/IEC 27001:2009 Studi
Kasus: Bidang Aplikasi dan Telematika Dinas Komunikasi Dan Informatika Surabaya, 1(1), 1–6.

[16] Sari, P. K., & Sebastian, J. (2014). Comparison Analysis of Information Security Risks and
Implementation of ISO27001 on Higher Educational Institutions in Indonesia, (October), 40–52.

[17] Sugiyono. (2016). Metode Penelitian Kuantitatif, Kualitatif, dan R & D. Bandung: Alfabeta.